Samo u 2021. godini u SAD-u je prijavljeno približno 20 milijardi dolara gubitaka u online trgovini zbog prevara s online plaćanjem. Pet godina kasnije slika je još složenija – prevare su organizovanije, automatizovanije i globalnije. Ipak, postoji jedan kontinent gdje je trend znatno blaži. Evropski trgovci u 2026. imaju najnižu stopu rasta online prevara u svjetskim poređenjima – i to ne slučajno. Razlog se zove PSD2 SCA, snažna autentifikacija korisnika koja je postala obavezna 2021., a u 2026. evoluira prema PSD3 i Payment Services Regulation (PSR) koji su u završnoj zakonodavnoj fazi. Ali regulativa sama po sebi nije odbrana. Trgovac koji ne razumije obrasce prevara i ne reaguje na vrijeme svejedno se nađe u poziciji da plaća kazne i gubi povjerenje kupaca.
Četiri obrasca prevara koje vidimo najčešće
1. Ukradeni podaci s kartice
Najklasičniji slučaj – broj kartice, datum isteka, ime i CVV dospjeli su u pogrešne ruke. Putem phishing/vishing napada, kompromitovanog webshopa ili jednostavno fotografisane kartice na recepciji. Podaci se najčešće prodaju na dark webu u nepotpunom obliku, pa prevaranti pokušavaju pogoditi nedostajući CVV kroz seriju malih transakcija. Kada „pogode”, slijedi velika transakcija.
Obrasci za pratiti:
● veliki broj neuspjelih pokušaja s malim iznosima u kratkom periodu,
● ime vlasnika kartice ne odgovara imenu adrese za dostavu,
● neuobičajeno velik iznos transakcije s nove e-mail adrese.
2. Preuzimanje računa (account takeover)
Prevarant ne ulazi kao gost – ulazi kao postojeći kupac jer je preuzeo njegov profil. Ovo postaje sve češće s rastom mreža ukradenih baza podataka i automatizovanim botovima koji isprobavaju kombinacije e-mail/lozinka.
Obrasci za pratiti:
● vrlo česti pokušaji prijave (signal za credential stuffing),
● lozinka korisničkog računa nedavno promijenjena ili resetovana
● adresa za dostavu promijenjena netom prije velike kupnje.
3. Prevara s rezervacijom
Posebno relevantno za turizam, rent-a-car i hotelijerstvo. Dugi boravak rezervisan s ukradenom karticom – pa otkazivanje uz zahtjev da se povrat izvrši na drugu karticu ili račun. Legitimni vlasnik kartice naknadno traži chargeback, i trgovac gubi i uslugu i novac.
Obrasci za pratiti:
● visoke vrijednosti rezervacija od novih korisnika bez povijesti,
● povrat tražen na drugi način plaćanja od korištenog,
● otkazivanje uz nejasne razloge (često bolest ili porodična hitna situacija).
4. Prijateljska prevara (friendly fraud)
Najteža za prepoznavanje – kupac stvarno plati, primi robu, pa ipak traži chargeback kod svoje banke umjesto refundacije kod trgovca. Ponekad bez loše namjere („zaboravio sam šta sam naručio”), ponekad organizovano.
Obrasci za pratiti:
● ponavljani problemi s istim kupcem,
● povećana izloženost na digitalnoj robi i in-app kupovinama gdje je teško dokazati isporuku.
Što vas štiti: 3DS2, SCA i pomak odgovornosti
Prije 3DS zaštite trgovac je snosio puni rizik prevara. Uvođenjem PSD2 i SCA (Strong Customer Authentication), za gotovo sve transakcije s 3DS autentifikacijom odgovornost se prebacuje na banku izdavaoca kartice. Trgovac dobija liability shift.
Rizik ostaje za:
● sredstva plaćanja izvan PSD2 regije (međunarodni kupci čije banke ne podržavaju 3DS),
● slučajeve izuzeća od SCA (mali iznosi, niskorizične transakcije, MIT – merchant-initiated transactions),
● one transakcije gdje trgovac aktivno odbija 3DS u checkoutu (što se ne preporučuje).
U 2026. dominantna verzija je 3DS 2.2 s risk-based authentication – izdavalac sam procjenjuje treba li tražiti dodatni faktor (frictionless flow) ili ne. Posljedica: kupci s niskorizičnim profilom prolaze checkout bez prekida, što povećava konverziju, a istovremeno se zadržava liability shift.
PCI DSS 4.0 – novi standard, već obavezujući
Od marta 2025. na snazi je PCI DSS verzija 4.0.1 kao obavezujući sigurnosni standard za sve trgovce i pružatelje usluga koji obrađuju kartične podatke. Najveće promjene u odnosu na verziju 3.2.1 odnose se na:
● proširene zahtjeve za autentifikaciju (uključujući MFA na svim pristupima),
● kontinuiranu evaluaciju rizika umjesto godišnje točke u vremenu,
● jače zahtjeve za zaštitu skripti i kartičnih formi u browseru (anti-skimming).
Operativne preporuke za vaš webshop
Nekoliko provjera koje preporučujemo ugraditi u rutinu pregleda narudžbi:
● Je li iznos transakcije neuobičajeno velik za vaš segment?
● Je li proveden 3DS i je li transakcija prošla SCA?
● Postoji li klaster transakcija s istim IP-om, istim BIN-om kartice, sličnim e-mail obrascem u kratkom vremenu?
● Odgovara li država izdavatelja kartice državi IP adrese i adrese za dostavu?
● Da li je kupac novi, s besplatnom e-mail adresom sastavljenom od brojeva i slova?
Nijedan od ovih signala sam po sebi nije dokaz prevare. Ali kombinacija dva ili tri – treba zaustaviti transakciju i poslati je u ručnu provjeru prije isporuke.
Kako Monri štiti vaše transakcije
Monri online plaćanja prolaze kroz PCI DSS Level 1 reviziju kontinuirano već više od deset godina – usklađeno s aktuelnom 4.0.1 specifikacijom, kao i s DORA i NIS2 zahtjevima za operativnu otpornost. Sistem po defaultu propušta 3DS autentifikaciju i prebacuje liability shift na banke izdavaoce, a tim za podršku dostupan je za sva pitanja oko sumnjivih transakcija i pokušaja prevara.
Ako razmišljate o jačanju zaštite vašeg webshopa, kontaktirajte nas i prođimo kroz vaš trenutni setup zajedno.
